概要
特定のトラステッド プラットフォーム モジュール (TPM) チップセットにセキュリティの脆弱性が存在します。 この脆弱性はキーの強度を弱めます。
この記事は、「 Microsoft セキュリティ アドバイザリ」ADV170012で説明されている脆弱性の影響を受ける BitLocker 保護デバイスの問題を特定し、解決するのに役立ちます。
追加情報
概要
このドキュメントでは、BitLocker TPM ベースの保護機能の脆弱性への影響を解決する方法について説明します。
関連するシークレットの保護方法に基づいて、他の BitLocker 保護機能メソッドへの影響を確認する必要があります。 たとえば、BitLocker のロックを解除するための外部キーが TPM に保護されている場合は、影響を分析するための アドバイザリ を参照してください。 これらの脆弱性の影響を解決することは、このドキュメントの範囲外です。
影響を特定する方法
BitLocker では、TPM シール操作とシール解除操作をストレージ ルート キーと共に使用して、オペレーティング システム ボリューム上の BitLocker シークレットを保護します。 この脆弱性は TPM 1.2 のシール操作とシール解除操作に影響しますが、TPM 2.0 での操作には影響しません。
オペレーティング システム ボリュームを保護するために TPM ベースの保護機能を使用する場合、TPM ファームウェアのバージョンが 1.2 の場合にのみ、BitLocker 保護のセキュリティが影響を受けます。
影響を受ける TPM と TPM のバージョンを特定するには、「2」を参照してください。 Microsoft セキュリティ アドバイザリ ADV170012の [推奨されるアクション] で、影響を受けるorganization内のデバイスを決定します。
BitLocker の状態をチェックするには、コンピューターの管理者としてコマンド プロンプトで "manage-bde -status <OS ボリューム文字:>" を実行します。
図 1 TPM 保護機能と回復パスワード 保護機能の両方によって保護されるオペレーティング システム ボリュームのサンプル出力。 (デバイスの暗号化は、この TPM の脆弱性の影響を受けません)。
ファームウェアの更新後の BitLocker の脆弱性を修正する
脆弱性を解決するには、次の手順に従います。
- BitLocker 保護を一時停止する: コンピューターの管理者として "manage-bde -protectors <OS ボリューム文字:> –disable" を実行します。
- TPM をクリアします。 手順については、「6」 を参照してください。 Microsoft セキュリティ アドバイザリ ADV170012の [推奨されるアクション] の下にある [TPM のクリア] を選択します。
- BitLocker 保護は、Windows 8以降のバージョンの Windows の再起動後に自動的に再開されます。 Windows 7 の場合は、コンピューターの管理者として "manage-bde -protectors <OS ボリューム文字:> –enable" を実行して、BitLocker 保護を再開します。
次のページでは、manage-bde.exe の完全なコマンド ライン リファレンスを提供します。
https://technet.microsoft.com/en-us/library/ff829849(v=ws.11).aspx